Créer des incidents de sécurité à partir des e-mails d’hameçonnage signalés par un utilisateur

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 23 minutes de lecture

    • Utilisez cette fonctionnalité pour créer des incidents de sécurité à partir des e-mails de hameçonnage signalés par les utilisateurs.

    La fonctionnalité améliorée de hameçonnage signalé par un utilisateur comprend des fonctionnalités d’agrégation, d’extraction d’en-tête d’e-mail et de configuration.

    • Les utilisateurs peuvent signaler les e-mails d’hameçonnage de plusieurs manières :
      • Les e-mails peuvent être transférés en tant que pièces jointes.
      • Si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client Microsoft Outlook, les utilisateurs peuvent :
        • Cliquez sur le bouton Signaler un hameçonnage .
        • Transférez les e-mails d’hameçonnage à partir d’un appareil mobile à l’aide de l’option Signaler un hameçonnage .

        Signaler les e-mails d’hameçonnage
      • Les utilisateurs peuvent télécharger un e-mail d’hameçonnage (au format .eml).
        Signaler les e-mails d’hameçonnage en tant que pièces jointes
    • L’hameçonnage signalé par un utilisateur inclut une logique métier d’agrégation qui identifie les e-mails d’hameçonnage signalés en double par les utilisateurs d’une entreprise. Les utilisateurs peuvent utiliser cette fonctionnalité pour :
      • Regroupez les incidents de hameçonnage signalés par un utilisateur en double ou similaires (campagnes de hameçonnage initiées par l’entreprise).
      • Évitez de trier les incidents de hameçonnage signalés en double par les utilisateurs et réduisez l’effort manuel nécessaire à la consolidation des incidents.
      • Permettez aux analystes de sécurité de travailler sur un seul incident de hameçonnage signalé par un utilisateur.
    • Fournit des en-têtes d’e-mail d’hameçonnage dans l’incident d’hameçonnage signalé par l’utilisateur.
      • Les analystes de sécurité peuvent rechercher les informations clés de l’en-tête de l’e-mail dans l’incident.
      • Il n’est plus nécessaire de collecter manuellement des informations d’en-tête à partir d’autres sources.
    • L’e-mail d’hameçonnage d’origine envoyé est stocké en tant qu’enregistrement d’e-mail d’hameçonnage dans une nouvelle table.
    • Les analystes de sécurité peuvent afficher les détails de l’e-mail d’hameçonnage d’origine, tels que le contenu, les en-têtes et l’origine.
    • Les administrateurs de sécurité peuvent configurer et apporter certaines améliorations, notamment :
      • Configurations permettant d’extraire les en-têtes d’e-mail à partir du corps de l’e-mail (signaler les soumissions d’hameçonnage ).
      • Filtres pour capturer les en-têtes sélectionnés.
      • Configurations permettant de gérer l’association d’incident parent-enfant lorsque des enregistrements d’e-mails d’hameçonnage sont identifiés.
      • Configurations de Flow Designer pour modifier la logique métier d’agrégation en fonction des besoins.

    Configurer des règles d’ingestion pour le hameçonnage signalé par les utilisateurs

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance des e-mails pour filtrer les e-mails de hameçonnage signalés par les utilisateurs en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés directement ou via le bouton Signaler un hameçonnage pour security@acme.com sont classés comme e-mails de hameçonnage signalés par un utilisateur. Pour plus d'informations, consultez Configurer des règles d’ingestion pour le hameçonnage signalé par les utilisateurs.

    Définir les propriétés de hameçonnage signalé par l’utilisateur

    Définissez les informations d’en-tête qui doivent être capturées à partir des e-mails d’hameçonnage signalés par l’utilisateur. Pour plus d'informations, voir Définir les propriétés de hameçonnage signalé par l’utilisateur

    Enregistrements d’e-mails d’hameçonnage créés à partir des e-mails d’hameçonnage signalés par un utilisateur

    Les e-mails d’hameçonnage signalés par les utilisateurs sont convertis en incidents de sécurité en fonction des règles de correspondance des e-mails qui ont été définies. Pour plus d'informations, consultez Enregistrements d’e-mails d’hameçonnage créés à partir des e-mails d’hameçonnage signalés par un utilisateur.

    Transformer l’e-mail d’hameçonnage en incident de sécurité

    Le flux Transformer l’e-mail d’hameçonnage en incident de sécurité convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité. Pour plus d'informations, consultez Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Affichez les détails de l’enregistrement d’incident de sécurité, y compris les listes connexes, les notes de travail et d’autres informations importantes. Pour plus d'informations, consultez Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Composants et modules d’extension requis

    La fonctionnalité Hameçonnage signalé par un utilisateur disponible dans cette version est une version améliorée de la fonctionnalité Hameçonnage signalée par un utilisateur disponible dans la version London. Pour en savoir plus, consultez la rubrique Créer des règles pour valider les attaques de hameçonnage signalées par les utilisateurs dans la documentation de London.

    Instructions d’installation importantes

    Cette amélioration remplace la conception existante du hameçonnage signalé par un utilisateur. Le nouveau design comprend les mises à jour suivantes :
    • Les actions entrantes d’e-mail d’hameçonnage signalé par un utilisateur existantes (Type = Transférer et Type = Nouveau) ont été désactivées.
    • Une nouvelle action entrante Créer un e-mail d’hameçonnage est désormais disponible.
    • Il Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité s’agit d’un nouveau flux qui contient la logique métier d’agrégation et de création des incidents de sécurité pour la nouvelle conception. Vous devez activer ce flux pour que le nouveau design prenne effet.
    • Les règles existantes relatives à l’hameçonnage signalé par un utilisateur ont été conservées pendant la mise à niveau.
    Remarque :
    Si vous utilisez des actions entrantes personnalisées sur e-mail et des workflows personnalisés pour les soumissions de hameçonnage signalées par les utilisateurs, vous devez examiner les anciennes et les nouvelles conceptions pour détecter les fonctionnalités conflictuelles ou qui se chevauchent.
    Détails de l’amélioration hameçonnage signalée par un utilisateur : voici les détails de l’amélioration :
    Remarque :
    • Les actions entrantes d’hameçonnage signalé par l’utilisateur disponibles avant la version 9.0 de Security Incident Response sont désormais désactivées. Les incidents de sécurité ne sont plus créés via les actions entrantes désactivées.
    • L’application de spoke Security Operations doit être installée pour que le nouveau design prenne effet. Cela inclut le Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité flux qui est disponible à l’état inactif par défaut. Activez ce flux pour créer des incidents de sécurité à partir des enregistrements d’e-mails d’hameçonnage.
    L’image suivante montre les différences entre l’ancien et le nouveau design :
    User Reported Phishing : différences
    Pour utiliser la fonctionnalité améliorée d’hameçonnage signalé par l’utilisateur, les modules d’extension et composants suivants sont requis :
    • Support de sécurité commun (sn_sec_cmn) : comprend :
      • Action entrante
      • Nouveau script EmailUserReportedPhishing
      • Table de règles d’ingestion
    • Security Incident Response (sn_si) : comprend :
      • Table des incidents de sécurité (sn_si_incident)
      • Tableau des e-mails d’hameçonnage de sécurité (sn_si_phishing_email)
      • Tableau des en-têtes d’e-mails d’hameçonnage de sécurité (sn_si_phishing_email_header)
      • Créateur d’enregistrement de chargement EML
    • Spoke Security Operations

      Flux et flux secondaires pour l’agrégation des e-mails et la transformation des e-mails d’hameçonnage en incidents de sécurité.

    La figure suivante montre la nouvelle table des e-mails d’hameçonnage avec des références à la règle URP correspondante et à l’enregistrement d’incident de sécurité cible (sn_si_incident).


    Modèle de données URP

    Configurer des règles d’ingestion pour le hameçonnage signalé par les utilisateurs

    En tant qu’utilisateur disposant du rôle sn_si.admin , vous pouvez définir des règles de correspondance des e-mails pour filtrer les e-mails de hameçonnage signalés par les utilisateurs en fonction de critères spécifiques. Par exemple, vous pouvez définir une règle selon laquelle tous les e-mails envoyés directement ou via le bouton Signaler un hameçonnage pour security@acme.com sont classés comme e-mails de hameçonnage signalés par un utilisateur.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tout > Security Operations > Traitement des e-mails > Règles d'intégration : hameçonnage signalé par un utilisateur.
    2. Cliquez sur Nouveau pour créer une nouvelle règle de correspondance d’e-mail.
    3. Entrez un nom et définissez une ou plusieurs conditions pour la règle.
    4. Cliquez sur Soumettre pour enregistrer la règle.
      Voici des exemples de règles :
      • ToRule : filtrez les e-mails qui ont été envoyés directement ou transférés à security@example.com identifiant d’e-mail. Définir ToRule
      • Règle d’ID d’utilisateur : filtrez les e-mails qui ont été envoyés à partir d’un ID d’e-mail spécifique. Définir la règle de l’ID d’utilisateur

    Définir les propriétés de hameçonnage signalé par l’utilisateur

    Définissez les informations d’en-tête qui doivent être capturées à partir des e-mails d’hameçonnage signalés par l’utilisateur.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Utilisez ces options pour configurer les paramètres de hameçonnage signalés par les utilisateurs suivants.
    • Configuration permettant d’extraire les en-têtes d’e-mail du corps de l’e-mail. (Signaler les soumissions d’hameçonnage .)
    • Filtrez pour sélectionner des en-têtes.
    • Activer ou désactiver l’association parent-enfant.

    Procédure

    1. Accédez à la Tout > Security Operations > Traitement des e-mails > Propriétés de hameçonnage signalé par un utilisateur.
      Propriétés de hameçonnage signalé par un utilisateur
    2. Spécifiez la configuration d’extraction des en-têtes d’e-mail à partir du corps de l’e-mail :
      • Saisissez une chaîne qui identifie le début de l’en-tête de l’e-mail.
      • Saisissez une chaîne qui identifie la fin de l’en-tête de l’e-mail.
        Remarque :
        Appliquez ces paramètres uniquement aux en-têtes capturés dans le corps de l’e-mail d’hameçonnage. Par exemple, si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client Microsoft Outlook, lorsque l’utilisateur clique sur le bouton Signaler un hameçonnage , les en-têtes de l’e-mail sont capturés selon la configuration définie ici. Les informations d’en-tête ne sont pas capturées si l’e-mail d’hameçonnage est transféré en tant que pièce jointe.
    3. Spécifiez des filtres pour éliminer les en-têtes qui ne sont pas nécessaires pour enquêter sur l’incident de sécurité.

      Saisissez une liste d’en-têtes d’e-mail séparés par des virgules qui doivent être capturés à partir de l’e-mail d’hameçonnage signalé par l’utilisateur. Si vous ne spécifiez aucune valeur ici, toutes les informations d’en-tête sont capturées.

    4. Activer ou désactiver l’association parent-enfant.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour indiquer que les incidents de sécurité enfants doivent être créés lorsque les e-mails d’hameçonnage signalés par les utilisateurs sont regroupés. Si vous sélectionnez Non, les incidents de sécurité enfants ne sont pas créés, mais les e-mails d’hameçonnage signalés par l’utilisateur sont associés à l’incident de sécurité et l’enregistrement de l’incident de sécurité est mis à jour. Pour en savoir plus sur la façon dont les incidents de sécurité enfants sont créés, reportez-vous Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité à la section
    5. Activez ou désactivez l’option permettant d’afficher le contenu de l’e-mail d’hameçonnage au format HTML.
      Par défaut, l’option Oui est activée. Sélectionnez Oui pour afficher le contenu de l’e-mail d’hameçonnage au format HTML. Si vous sélectionnez Non, le contenu de l’e-mail au format HTML ne sera pas visible dans un enregistrement d’hameçonnage.

    Enregistrements d’e-mails d’hameçonnage créés à partir des e-mails d’hameçonnage signalés par un utilisateur

    Les e-mails d’hameçonnage signalés par un utilisateur sont convertis en incidents de sécurité en fonction des règles de correspondance des e-mails qui ont été définies.

    Lorsqu’un nouvel e-mail d’hameçonnage est signalé, les actions suivantes sont effectuées :

    Pour afficher les détails de l’e-mail, accédez à Incident de sécurité > Afficher tous les e-mails d'hameçonnage. Une liste des enregistrements d’e-mails d’hameçonnage s’affiche. Cliquez sur le lien de date dans la colonne Créé pour afficher l’enregistrement d’e-mail.


    E-mail d’hameçonnage avec ToRule
    Tableau 1. Détails de l’e-mail d’hameçonnage de l’incident de sécurité
    Nom de champ Description
    Numéro Numéro attribué à l’e-mail d’hameçonnage signalé par l’utilisateur.
    Objet Objet de l'e-mail. La règle du sujet est utile dans les simulations de campagnes ou de tests d’hameçonnage. Dans ce cas, les organisations envoient des e-mails trompeurs à leur propre personnel pour tester leur réponse au phishing et aux attaques similaires par e-mail.

    Dans les tests d’e-mails d’hameçonnage simulés, si le client de messagerie Microsoft Outlook avec le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) est utilisé, l’utilisateur peut cliquer sur le bouton Signaler un hameçonnage pour signaler l’e-mail d’hameçonnage. L’e-mail est envoyé à l’équipe Security Operations avec un hameçonnage simulé ajouté à l’objet de l’e-mail. Cela permet d’identifier l’e-mail comme étant une simulation d’e-mail d’hameçonnage.
    De Adresse e-mail d’où provient cet e-mail d’hameçonnage. Ces informations sont disponibles si l’e-mail d’hameçonnage est transféré en tant que . EML ou si les en-têtes d’origine sont incorporés dans l’e-mail.

    Si l’utilisateur a transféré directement l’e-mail d’hameçonnage, l’adresse de l’expéditeur peut ne pas être disponible.
    Reporté par L’ID d’e-mail de l’utilisateur qui a signalé cet e-mail d’hameçonnage. Cliquez sur l’icône Informations pour afficher des détails supplémentaires.
    ID de message ID affecté au message.
    Règle URP correspondante Règle Hameçonnage signalé par un utilisateur qui doit être appliquée à cet e-mail. Cliquez sur l’icône Informations pour afficher des détails supplémentaires.
    Règle d’ingestion URP

    Comme vous pouvez le voir, dans cet exemple, le champ Condition indique que la ToRule est appliquée à cet e-mail et qu’un incident de sécurité est créé. Pour plus d’informations sur la définition de règles de correspondance des e-mails, consultez la rubrique Configurer des règles d’ingestion pour le hameçonnage signalé par les utilisateurs
    État Lorsqu’un nouvel enregistrement d’e-mail d’hameçonnage est créé dans la table sn_si_phishing_email , le champ État est défini sur Nouveau. Lorsque cet enregistrement d’e-mail est converti en incident de sécurité (reportez-vous à la section Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité), le champ État est mis à jour sur Traité.
    Origine de l’en-tête Ce champ indique l’origine des en-têtes d’e-mail ou la manière dont l’utilisateur a signalé l’e-mail d’hameçonnage :
    • En-tête de l’e-mail : l’utilisateur a transféré l’e-mail d’hameçonnage à l’équipe des opérations de sécurité.
    • Corps du texte de l’e-mail :
      • L’utilisateur a cliqué sur l’option Signaler un hameçonnage (si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client de messagerie).
      • En fonction de la règle d’hameçonnage signalée par un utilisateur définie, l’e-mail d’hameçonnage est transmis à l’équipe des opérations de sécurité.
    • En-tête de pièce jointe EML :
      • Pièce jointe : l’utilisateur a transféré l’e-mail en tant que pièce jointe (. EML).
      • Soumission de Service Catalog : l’utilisateur a téléchargé l’e-mail au format . EML sur le bureau, puis téléchargé à un emplacement spécifié. L’incident de sécurité est ensuite créé à partir de l’e-mail.
    • Corps de la pièce jointe EML :
      • L’utilisateur a cliqué sur l’option Signaler un hameçonnage (si le module d’extension PhishAlarm (précédemment connu sous le nom de Wombat) a été configuré avec le client de messagerie).
      • Selon la règle d’hameçonnage signalée par un utilisateur définie, l’e-mail d’hameçonnage est transféré en tant que pièce jointe à l’équipe des opérations de sécurité.
    Incident de sécurité Ce champ est vide lorsque l’e-mail d’hameçonnage signalé par l’utilisateur est signalé pour la première fois. Lorsque le flux a été exécuté, cet Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité e-mail est converti en enregistrement d’incident de sécurité et le numéro de cet enregistrement est affiché ici.
    En-têtes bruts Ce champ affiche les informations d’en-tête complètes extraites de l’e-mail telles que définies dans la Définir les propriétés de hameçonnage signalé par l’utilisateur page. Les en-têtes sont analysés en paires de valeurs clés et affichés dans la liste En-têtes d’e-mails d’hameçonnage.
    En-têtes d’e-mails d’hameçonnage
    Corps Il s’agit du corps de l’e-mail d’hameçonnage signalé par l’utilisateur.

    Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité

    Le flux Transformer l’e-mail d’hameçonnage en incident de sécurité est un nouveau flux qui convertit ou transforme les enregistrements d’e-mails d’hameçonnage en incidents de sécurité.

    Avant de commencer

    Remarque :
    Pour activer la fonctionnalité Hameçonnage signalé par un utilisateur, vous devez effectuer une copie du flux et l’activer . Si vous avez créé des actions entrantes personnalisées et des flux personnalisés pour gérer les soumissions de hameçonnage signalées par les utilisateurs, les modifications de flux suggérées ici ne sont pas nécessaires.
    • Rôle requis : sn_si.admin
    • Le spoke Flow Designer doit être installé.

    Pourquoi et quand exécuter cette tâche

    Ce flux est automatiquement lancé lorsqu’un enregistrement d’e-mail de signalement d’hameçonnage signalé par un utilisateur avec l’état défini sur Nouveau est créé. Ce flux contient la logique pour :
    • Regrouper les incidents de sécurité.
    • Mettez à jour les incidents de sécurité avec des notes pertinentes.
    • Ajoutez des données d’en-tête.
    • Créez des incidents enfants selon les besoins.

    Procédure

    • Accédez à la Concepteur de flux > Concepteur pour afficher les flux disponibles avec le spoke Security Operations.
      Flux Security Operations
    • Cliquez sur le lien Transformer l’e-mail d’hameçonnage en incidents de sécurité pour afficher le flux.
    • Ce flux est fourni avec le système de base et est en mode lecture seule et ne peut pas être utilisé.
      Cliquez sur l’icône Plus, faites une copie du flux et ouvrez-la pour votre utilisation. Vous pouvez maintenant apporter des modifications à votre flux, telles que la modification des conditions ou des actions de déclenchement, ou l’ajout et la suppression d’actions. Après avoir effectué les modifications nécessaires, vous devez activer ( Voir Activer un Réponse aux incidents de sécurité flux) le flux afin qu’il puisse être exécuté.Transformer le flux des e-mails d’hameçonnage en incidents de sécurité

      Cette figure montre le déclencheur et les étapes exécutées avec le flux. Le panneau de droite montre le flux de données. Cliquez sur une icône pour développer l’étape et afficher les détails.

    • Cliquez sur l’icône Déclencheur .
      Dans un premier temps, vous définissez ou définissez le déclencheur du flux. Spécifiez les conditions du déclencheur et de la tâche à exécuter lorsque les conditions sont remplies. Ce flux est initié lorsqu’un nouvel enregistrement est chargé dans la table sn_si_phishing_email .Flux de transformation : déclencheur
    • À l’étape 1, le flux vérifie si le marqueur Créer des incidents enfants pour les soumissions d’e-mails regroupées ? est activé ou désactivé dans la Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité page.
      Flux de transformation : action 1
    • À l’étape 2, l’incident de sécurité parent le plus ancien est identifié.
      Remarquez l’icône de l’étape 2. Cela indique que le flux secondaire d’agrégation des e-mails d’hameçonnage sera exécuté dans le cadre de cette étape.Flux de transformation : action 2

      Cliquez sur l’icône du concepteur d’action pour afficher une vue détaillée de l’action. Ce flux secondaire vérifie l’e-mail d’hameçonnage et le fait correspondre à un incident de sécurité existant en fonction des critères spécifiés.

      Flux de transformation : flux secondaire d’agrégation des e-mails d’hameçonnage
      Ces deux actions sont effectuées lorsque ce flux secondaire est exécuté. Cliquez sur le lien de la première action pour afficher des détails supplémentaires.
      Flux de transformation : flux secondaire : action
      Cette action vérifie les e-mails qui correspondent aux critères du nouvel e-mail entrant en fonction de conditions telles que :Si ces conditions sont remplies, vous pouvez voir le nombre d’enregistrements qui correspondent aux critères dans le champ Nombre maximal de résultats. Le plus ancien ou le premier enregistrement de la liste est désigné comme enregistrement parent par rapport auquel les incidents de sécurité seront agrégés.
    • L’étape 3 ne s’applique que si le marqueur Créer des incidents enfants pour les soumissions d’e-mails regroupées ? a été défini sur Non dans la Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité page.
      Dans ce cas, l’e-mail d’hameçonnage est associé à l’enregistrement d’incident de sécurité et le flux se termine.
      Flux de transformation : action 3
    • Si l’option Créer des incidents enfants pour les soumissions d’e-mails regroupées ? a été définie sur Oui, le flux continue de s’exécuter et un nouvel incident de sécurité est créé en fonction de l’e-mail d’hameçonnage signalé par l’utilisateur.
      Flux de transformation : action 4
    • À l’étape 5, les utilisateurs qui ont reçu l’e-mail d’hameçonnage (employés de la liste À et CC de l’e-mail d’hameçonnage) sont ajoutés à la liste connexe Utilisateurs affectés dans l’enregistrement d’incident de sécurité.
      Transformer le formulaire : action 4
    • À l’étape 6, les observables figurant sur la liste d’autorisation sont filtrés à partir de la liste des observables de l’incident de sécurité.
      Ces éléments observables sur la liste d’autorisation ne seront pas ajoutés à l’incident de sécurité.
      Flux de transformation : filtrer les éléments indésirables répertoriés
    • À l’étape 7, les observables inconnus de l’e-mail d’hameçonnage signalé par l’utilisateur sont identifiés et ajoutés à la liste connexe Observables.
      Flux de transformation : ajouter des observables
    • À l’étape 8, une requête de recherche d’e-mail est générée, qui est une combinaison de l’objet et de l’adresse de l’expéditeur de l’e-mail.
      Ces informations sont utiles pour identifier les employés de l’organisation qui ont été victimes d’hameçonnage.
      Flux de transformation : créer une requête de recherche d’e-mail
    • À l’étape 9, l’e-mail d’hameçonnage signalé par l’utilisateur est associé à l’incident de sécurité et l’enregistrement d’incident de sécurité (créé à l’étape 4) est mis à jour.
      Flux de transformation : mettre à jour l’enregistrement d’incident de sécurité
    • À l’étape 10, l’incident de sécurité parent est identifié et une vérification est effectuée pour déterminer s’il s’agit d’un enregistrement d’incident de sécurité ouvert.
      Flux de transformation : rechercher un enregistrement d’incident de sécurité
    • Si la sécurité parente est active, des notes sont ajoutées aux enregistrements d’incident de sécurité enfant et parent indiquant comment ils sont associés l’un à l’autre.
    • À l’étape 12, si aucun utilisateur affecté n’est trouvé (à l’étape 5 du flux), une note de travail est ajoutée et l’enregistrement d’incident de sécurité est mis à jour.
      Flux de transformation : ajouter une note de travail pour les utilisateurs sans correspondance
    • À l’étape 13, une note de travail est ajoutée avec la liste des observables sur liste d’autorisation.
      Flux de transformation : Ajouter une liste d’éléments observables sur la liste d’autorisation

    Que faire ensuite

    Vous pouvez cliquer sur Test pour simuler les actions dans le flux avant sa publication. Après avoir testé le flux, cliquez sur Activer pour activer le flux afin qu’il puisse être exécuté.

    Cliquez sur Exécutions pour afficher les détails de l’exécution du flux.


    Flux de transformation : détails de l’exécution

    Lorsque le flux a été exécuté, l’enregistrement de l’e-mail d’hameçonnage est converti en incident de sécurité. Reportez-vous à la rubrique Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage.

    Enregistrements d’incidents de sécurité créés à partir d’enregistrements d’e-mails d’hameçonnage

    Les enregistrements d’e-mails d’hameçonnage stockés dans la table sn_si_phishing_email sont convertis en enregistrements d’incidents de sécurité.

    Pour afficher l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage, cliquez sur Incident de sécurité > E-mail d'hameçonnage > Afficher tous les e-mails d’hameçonnage.


    Table des e-mails d’hameçonnage

    Cliquez sur le lien dans la colonne Incident de sécurité associée à l’enregistrement de l’e-mail d’hameçonnage. Les détails de l’incident de sécurité sont affichés.


    Incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage

    Listes connexes

    Faites défiler l’écran vers le bas jusqu’à la section Liens connexes de l’incident de sécurité et cliquez sur la liste connexe Afficher tout. Affichez les détails tels que les incidents de sécurité enfants, les utilisateurs affectés et les e-mails d’hameçonnage associés.

    Incidents de sécurité enfants

    Cliquez sur l’onglet Incidents de sécurité enfants . Vous pouvez afficher une liste d’incidents de sécurité enfants associés à l’incident de sécurité parent en fonction de la logique d’agrégation qui a été appliquée. Pour chaque enregistrement enfant ajouté, une activité système automatisée est ajoutée (dans la section Note de travail) à l’enregistrement parent. L’analyste de sécurité est alors informé de l’enregistrement enfant agrégé.
    Remarque :
    Vous pouvez voir les incidents de sécurité enfants ici uniquement si le marqueur Créer des incidents enfants pour les soumissions d’e-mails regroupés est défini sur Oui dans la page Propriétés de hameçonnage signalé par l’utilisateur. Consultez Définir les propriétés de hameçonnage signalé par l’utilisateur pour en savoir plus.

    Incidents de sécurité enfants

    E-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Une liste d’enregistrements d’e-mails d’hameçonnage (enregistrements en double) associés à l’enregistrement d’e-mail d’hameçonnage parent s’affiche.
    Enregistrements d’e-mails d’hameçonnage associés

    En-têtes d’e-mails d’hameçonnage associés

    Cliquez sur l’onglet E-mails d’hameçonnage associés . Les détails de l’en-tête de l’e-mail d’hameçonnage qui ont été capturés dans le cadre de l’incident de sécurité s’affichent. Vous pouvez afficher les en-têtes cumulés de tous les enregistrements enfants et de tous les enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.
    En-têtes d’e-mails d’hameçonnage associés

    Observables de la liste d’autorisation

    Au fur et à mesure que le Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité flux est en cours d’exécution, vous pouvez surveiller l’état de l’incident de sécurité. Lorsque certains observables sont marqués comme observables de la liste autorisée, ils ne sont pas ajoutés à la liste connexe Observables. En inscrivant les observables sur liste d’autorisation, vous pouvez vous assurer que seuls les détails importants sont affichés. Par exemple, s’www.google.com est l’une des URL marquées comme liste autorisée, le message système suivant s’affiche. La liste des observables autorisés garantit que seuls les observables importants sont surveillés.

    Capture d’utilisateurs sans correspondance

    Certains ID d’e-mail dans les listes À et CC de l’e-mail d’hameçonnage peuvent ne pas appartenir à des utilisateurs de l’organisation. Ces ID d’e-mail sont classés dans la catégorie des utilisateurs sans correspondance et ne sont pas inclus dans la liste connexe des utilisateurs affectés. Une note de travail indiquant qu’il s’agit d’utilisateurs sans correspondance s’affiche.
    Utilisateurs sans correspondance

    Hameçonnage signalé par un utilisateur dans Security Analyst Workspace

    Vous pouvez afficher les incidents de sécurité associés aux enregistrements d’e-mails d’hameçonnage dans Security Analyst Workspace.

    Accédez à la Incident de sécurité > Nouvelle interface utilisateur. L’espace de travail s’ouvre dans un onglet de navigateur distinct. Cliquez sur l’incident de sécurité associé à l’enregistrement de l’e-mail d’hameçonnage pour afficher l’incident de sécurité.
    Incident de sécurité URP : nouvelle interface utilisateur
    Cliquez sur l’icône des jumelles. L’e-mail d’hameçonnage d’origine s’affiche.
    Incident de sécurité URP : nouvelle interface utilisateur : e-mail d’hameçonnage
    Dans l’onglet Explorer , cliquez sur Incidents > Incidents de sécurité enfants.
    Incident de sécurité URP : nouvelle interface utilisateur : incidents de sécurité enfants
    Cliquer sur Incidents > En-têtes d'hameçonnage associés > . Vous pouvez afficher les en-têtes cumulés de tous les enregistrements enfants et de tous les enregistrements d’e-mails d’hameçonnage agrégés à l’incident de sécurité parent.
    URP : nouvelle interface utilisateur : en-têtes d’e-mail
    Cliquez sur le lien de l’e-mail d’hameçonnage pour afficher l’enregistrement de l’e-mail d’hameçonnage associé à l’incident de sécurité.
    URP : nouvelle interface utilisateur : enregistrement d’e-mail d’hameçonnage
    Cliquez sur l’onglet Chronologie de l’incident .
    URP : nouvelle interface utilisateur : notes de travail
    Vous pouvez afficher les mises à jour système qui mettent en évidence :
    • Enregistrements enfants en double identifiés.
    • Liste des éléments observables autorisés.
    • Utilisateurs sans correspondance qui ont reçu l’e-mail d’hameçonnage mais qui n’appartiennent pas à la liste des utilisateurs affectés.

    Forum aux questions

    Cette section recense certaines des questions fréquemment posées sur la fonctionnalité améliorée d’hameçonnage signalé par un utilisateur.

    1. J’ai installé le nouveau spoke Security Incident Response, mais je ne peux afficher aucun incident de hameçonnage signalé par un utilisateur.

      Par défaut, la fonctionnalité Hameçonnage signalé par un utilisateur a été désactivée.

      Pour activer cette fonctionnalité, vous devez effectuer une copie du flux en lecture seule Transformer les e-mails d’hameçonnage signalés par les utilisateurs en incidents de sécurité et l’activer avant de l’utiliser.

    2. Lors de l’ingestion des e-mails d’hameçonnage et de leur conversion en incidents de sécurité, quelles mesures de précaution sont utilisées pour gérer les liens et pièces jointes malveillants contenus dans les e-mails d’hameçonnage ?

      L’analyseur ServiceNow antivirus analyse ces pièces jointes et liens malveillants. Toutefois, pour que les analystes de sécurité puissent enquêter sur les incidents avec précision, l’application Réponse aux incidents de sécurité capture tous les artefacts qui font partie d’un e-mail d’hameçonnage. Cependant, la fonctionnalité Hameçonnage signalé par un utilisateur désactive les liens malveillants contenus dans l’e-mail d’hameçonnage afin que les analystes de sécurité ne cliquent pas accidentellement sur ces liens. En ce qui concerne les pièces jointes malveillantes, les analystes de sécurité doivent être prudents lorsqu’ils les téléchargent.

    3. Enregistrons-nous tous les fichiers malveillants qui font partie des e-mails d’hameçonnage à des fins d’enrichissement des incidents de sécurité ?

      Oui, nous récupérons tous les fichiers des e-mails d’hameçonnage. Vous pouvez afficher ces détails disponibles dans le cadre des observables d’incident de sécurité sous la forme d’un hachage de fichier.

    4. Envoyons-nous des fichiers et des liens malveillants à partir d’e-mails d’hameçonnage à une instance de bac à sable pour enquête ?

      Actuellement, nous ne prenons pas en charge les intégrations de bac à sable prêtes à l’emploi pour enquêter sur les fichiers et les liens malveillants.

    5. Existe-t-il une fenêtre de temps ou un déclencheur qui définit la durée pendant laquelle les enregistrements d’e-mails d’hameçonnage en double entrants sont associés à un incident de sécurité parent ?

      Les enregistrements d’e-mails d’hameçonnage en double ne sont agrégés qu’à un incident de sécurité parent actif. Si l’incident parent est fermé ou annulé, le nouvel e-mail d’hameçonnage en double entrant est créé en tant que nouvel incident de sécurité. Toutefois, dans ce scénario, dans le nouvel incident de sécurité, vous pouvez afficher l’incident de sécurité parent fermé ou annulé dans la liste connexe Incidents de sécurité similaires .

      Remarque :
      Ce comportement peut être configuré à l’aide du concepteur de flux.
    6. La fonctionnalité User Report Phishing prend-elle en charge l’utilisation uniquement du module d’extension Microsoft Outlook PhishAlarm (précédemment connu sous le nom de Wombat) pour capturer les détails de l’en-tête des e-mails ?

      La fonctionnalité Signalé par l’utilisateur a été conçue pour analyser les en-têtes des e-mails et est conforme aux normes RFC 822. Ainsi, à l’instar du module d’extension PhishAlarm (précédemment connu sous le nom de Wombat), tous les autres modules d’extension Microsoft Outlook qui capturent les en-têtes d’e-mail selon les normes RFC822 sont pris en charge.